L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Juniper Junos Space

bulletin de vulnérabilité informatique CVE-2018-0047

Junos Space Security Director : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Junos Space Security Director, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Junos Space.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/10/2018.
Références : CERTFR-2018-AVI-487, CVE-2018-0047, JSA10881, VIGILANCE-VUL-27468.

Description de la vulnérabilité

Le produit Junos Space Security Director dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Junos Space Security Director, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-0046

Junos Space : Cross Site Scripting via OpenNMS

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via OpenNMS de Junos Space, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Junos Space, Junos Space Network Management Platform.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/10/2018.
Références : CERTFR-2018-AVI-487, CVE-2018-0046, JSA10880, VIGILANCE-VUL-27467.

Description de la vulnérabilité

Le produit Junos Space dispose d'un service web.

Cependant, les données reçues via OpenNMS ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via OpenNMS de Junos Space, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2018-14634

Noyau Linux : débordement d'entier via create_elf_tables

Synthèse de la vulnérabilité

Produits concernés : Debian, BIG-IP Hardware, TMOS, Junos Space, Linux, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits administrateur, déni de service du serveur.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 26/09/2018.
Références : CERTFR-2018-AVI-457, CERTFR-2018-AVI-459, CERTFR-2018-AVI-460, CERTFR-2018-AVI-462, CERTFR-2018-AVI-478, CERTFR-2018-AVI-480, CERTFR-2018-AVI-567, CVE-2018-14634, DLA-1529-1, JSA10917, K20934447, RHSA-2018:2748-01, RHSA-2018:2763-01, RHSA-2018:2846-01, RHSA-2018:2924-01, RHSA-2018:2925-01, RHSA-2018:2933-01, RHSA-2018:3540-01, RHSA-2018:3586-01, RHSA-2018:3590-01, RHSA-2018:3591-01, RHSA-2018:3643-01, SUSE-SU-2018:2879-1, SUSE-SU-2018:2907-1, SUSE-SU-2018:2908-1, SUSE-SU-2018:3083-1, SUSE-SU-2018:3088-1, USN-3775-1, USN-3775-2, USN-3779-1, VIGILANCE-VUL-27320.

Description de la vulnérabilité

Un attaquant peut provoquer un débordement d'entier via create_elf_tables() du noyau Linux, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2018-10904 CVE-2018-10907 CVE-2018-10911

GlusterFS : multiples vulnérabilités

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, Junos Space, RHEL, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/09/2018.
Références : CVE-2018-10904, CVE-2018-10907, CVE-2018-10911, CVE-2018-10913, CVE-2018-10914, CVE-2018-10923, CVE-2018-10926, CVE-2018-10927, CVE-2018-10928, CVE-2018-10929, CVE-2018-10930, DLA-1510-1, FEDORA-2018-4e660226e7, FEDORA-2018-9a4d7ec61e, JSA10917, RHSA-2018:2892-01, RHSA-2018:3242-01, VIGILANCE-VUL-27211.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de GlusterFS.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-12384

Mozilla NSS : obtention d'information via SSLv2 ServerHello Zero Random

Synthèse de la vulnérabilité

Produits concernés : Fedora, Junos Space, NSS, openSUSE Leap, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : LAN.
Confiance : confirmé par l'éditeur (5/5).
Date création : 03/09/2018.
Références : CVE-2018-12384, FEDORA-2018-1a7a5c54c2, FEDORA-2018-4a21a8ca59, JSA10917, openSUSE-SU-2018:4117-1, openSUSE-SU-2018:4283-1, RHSA-2018:2768-01, RHSA-2018:2898-01, SUSE-SU-2018:4235-1, SUSE-SU-2018:4236-1, USN-3850-1, VIGILANCE-VUL-27136.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via SSLv2 ServerHello Zero Random de Mozilla NSS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-5391

Noyau Linux : déni de service via FragmentSmack

Synthèse de la vulnérabilité

Produits concernés : GAiA, SecurePlatform, CheckPoint Security Gateway, Cisco Aironet, IOS XE Cisco, Nexus par Cisco, Prime Collaboration Assurance, Prime Infrastructure, Cisco Router, Secure ACS, Cisco CUCM, Cisco UCS, Cisco Unified CCX, Cisco IP Phone, Cisco Wireless Controller, Debian, BIG-IP Hardware, TMOS, Junos Space, Linux, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 2016, Windows 7, Windows 8, Windows RT, openSUSE Leap, Palo Alto Firewall PA***, PAN-OS, RHEL, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, ProxySG par Symantec, Synology DSM, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/08/2018.
Références : ADV180022, CERTFR-2018-AVI-390, CERTFR-2018-AVI-392, CERTFR-2018-AVI-419, CERTFR-2018-AVI-457, CERTFR-2018-AVI-478, CERTFR-2018-AVI-533, cisco-sa-20180824-linux-ip-fragment, CVE-2018-5391, DLA-1466-1, DLA-1529-1, DSA-4272-1, FragmentSmack, JSA10917, K74374841, openSUSE-SU-2018:2404-1, openSUSE-SU-2018:2407-1, PAN-SA-2018-0012, RHSA-2018:2785-01, RHSA-2018:2791-01, RHSA-2018:2846-01, RHSA-2018:2924-01, RHSA-2018:2925-01, RHSA-2018:2933-01, RHSA-2018:2948-01, RHSA-2018:3083-01, RHSA-2018:3096-01, RHSA-2018:3459-01, RHSA-2018:3540-01, RHSA-2018:3586-01, RHSA-2018:3590-01, sk134253, SUSE-SU-2018:2344-1, SUSE-SU-2018:2374-1, SUSE-SU-2018:2380-1, SUSE-SU-2018:2381-1, SUSE-SU-2018:2596-1, SYMSA1467, Synology-SA-18:44, USN-3740-1, USN-3740-2, USN-3741-1, USN-3741-2, USN-3741-3, USN-3742-1, USN-3742-2, USN-3742-3, VIGILANCE-VUL-27009, VU#641765.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via FragmentSmack du noyau Linux, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-3620

Processeurs Intel : obtention d'information via Foreshadow L1TF OS/SMM

Synthèse de la vulnérabilité

Produits concernés : SNS, Arkoon FAST360, Cisco ASR, Nexus par Cisco, NX-OS, Cisco UCS, XenServer, Debian, NetWorker, Unisphere EMC, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP ProLiant, QRadar SIEM, Junos Space, Linux, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 2016, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, OpenBSD, openSUSE Leap, pfSense, RHEL, SIMATIC, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Ubuntu, Unix (plateforme) ~ non exhaustif, vCenter Server, WindRiver Linux, Xen.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/08/2018.
Références : 525211, 528031, ADV180018, CERTFR-2018-AVI-385, CERTFR-2018-AVI-386, CERTFR-2018-AVI-387, CERTFR-2018-AVI-388, CERTFR-2018-AVI-390, CERTFR-2018-AVI-391, CERTFR-2018-AVI-392, CERTFR-2018-AVI-416, CERTFR-2018-AVI-419, CERTFR-2018-AVI-426, CERTFR-2018-AVI-557, CERTFR-2018-AVI-584, cisco-sa-20180814-cpusidechannel, CTX236548, CVE-2018-3620, DLA-1481-1, DLA-1506-1, DLA-1529-1, DSA-2018-170, DSA-2018-217, DSA-4274-1, DSA-4279-1, DSA-4279-2, FEDORA-2018-1c80fea1cd, FEDORA-2018-f8cba144ae, Foreshadow, FreeBSD-SA-18:09.l1tf, HPESBHF03874, ibm10742755, INTEL-SA-00161, JSA10917, K95275140, openSUSE-SU-2018:2404-1, openSUSE-SU-2018:2407-1, RHSA-2018:2384-01, RHSA-2018:2387-01, RHSA-2018:2388-01, RHSA-2018:2389-01, RHSA-2018:2390-01, RHSA-2018:2391-01, RHSA-2018:2392-01, RHSA-2018:2393-01, RHSA-2018:2394-01, RHSA-2018:2395-01, RHSA-2018:2396-01, RHSA-2018:2602-01, RHSA-2018:2603-01, SSA:2018-240-01, SSA-254686, STORM-2018-005, SUSE-SU-2018:2328-1, SUSE-SU-2018:2332-1, SUSE-SU-2018:2344-1, SUSE-SU-2018:2362-1, SUSE-SU-2018:2366-1, SUSE-SU-2018:2374-1, SUSE-SU-2018:2380-1, SUSE-SU-2018:2381-1, SUSE-SU-2018:2384-1, SUSE-SU-2018:2596-1, SUSE-SU-2018:2637-1, Synology-SA-18:45, USN-3740-1, USN-3740-2, USN-3741-1, USN-3741-2, USN-3741-3, USN-3742-1, USN-3742-2, USN-3742-3, USN-3823-1, VIGILANCE-VUL-26998, VMSA-2018-0021, VU#982149, XSA-273, XSA-289.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via L1TF OS/SMM sur des processeurs Intel, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2018-5740

ISC BIND : erreur d'assertion via deny-answer-aliases

Synthèse de la vulnérabilité

Produits concernés : Debian, BIG-IP Hardware, TMOS, IBM i, BIND, Junos Space, Data ONTAP, Solaris, RHEL, Slackware, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/08/2018.
Références : bulletinoct2018, CERTFR-2018-AVI-380, CVE-2018-5740, DLA-1485-1, ibm10725903, JSA10917, K98528405, NTAP-20180926-0001, NTAP-20180926-0002, NTAP-20180926-0003, NTAP-20180926-0004, NTAP-20180926-0005, NTAP-20180927-0001, RHSA-2018:2570-01, RHSA-2018:2571-01, SSA:2018-222-01, USN-3769-1, USN-3769-2, VIGILANCE-VUL-26934.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur d'assertion via deny-answer-aliases de ISC BIND, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-10897

yum-utils : traversée de répertoire via Reposync

Synthèse de la vulnérabilité

Produits concernés : Fedora, Junos Space, RHEL.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 31/07/2018.
Références : CVE-2018-10897, FEDORA-2018-3aafb854a9, FEDORA-2018-4f0089c995, JSA10917, RHSA-2018:2284-01, RHSA-2018:2285-01, VIGILANCE-VUL-26876.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires via Reposync de yum-utils, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2018-10901

Noyau Linux : élévation de privilèges via KVM GDT.LIMIT

Synthèse de la vulnérabilité

Produits concernés : Junos Space, Linux, RHEL.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 27/07/2018.
Références : CERTFR-2018-AVI-386, CVE-2018-10901, JSA10917, RHSA-2018:2390-01, RHSA-2018:2391-01, RHSA-2018:2392-01, RHSA-2018:2393-01, RHSA-2018:2394-01, VIGILANCE-VUL-26861.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via KVM GDT.LIMIT du noyau Linux, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Juniper Junos Space :